DOS/Windows下黑客攻防（一）——神秘黑客大曝光

一、认识神秘的黑客

　　谈到网络安全，人们不自觉间就会联想到黑客，人们往往会将他们同破坏网络安全、盗取用户账号、偷窃个人私密信息联系起来。其实黑客也有好坏之分，他们并不全是网络上的捣乱分子，其中也有一部分是网络上的安全卫士。

　　黑客最早始于20世纪50年代，最早的计算机在1946年在宾夕法尼亚大学出现，而最早的黑客出现于麻省理工学院。最早的黑客一般都是高级技术人员，他们热衷于挑战、崇尚自由，并主张信息共享。

　　“黑客”一词一般有以下4钟意义：

• 一个对（某领域的编程语言有足够了解，可以不经长时间思考就能创造出有用软件的人。
• 一个试图恶意（一般是非法）破解或破坏某个程序、系统及网络安全的人。
• 一个试图破解某系统或网络，已提醒该系统所有者系统存在安全漏洞，这群人往往被称为“红客”。他们多数是电脑安全公司的雇员，并在合法情况下攻击某系统。
• 一个通过知识或猜测而对某段程序做出（往往是好的）修改，并改变（或增强）该程序用途的人。

二、黑客定位依据——地址

　ip地址的表现方式：

　　　ip地址长度为32位，分为4个字节，每个字节对应8位二进制位，即每部分数字不超过2^8=256。

　　　二进制形式：11000000 10011110 00000011 00000101

　　　点分十进制表示：192.168.0.1

　ip地址分类：

　　ip地址分为网络地址和主机地址。

　　ip地址根据网络ID的不同分为5种类型：

• A类IP地址：1字节网络地址+3字节主机地址。网络地址最高位必须为“0”，地址范围：1.0.0.1~126.255.255.254。可用A类网络有126个，每个网络能容纳16777214个主机。

• B类IP地址：2字节网络地址+2字节主机地址。网络地址最高位必须为“10”，地址范围：128.1.0.1~191.255.255.254。可用B类网络有16384个，每个网络能容纳65534个主机。

• C类IP地址：3字节网络地址+1字节主机地址。网络地址最高位必须为“110”，地址范围：192.0.1.1~223.255.255.254。可用C类网络有2097152个，每个网络能容纳254个主机。

• D类IP地址：网络地址最高位必须为“1110”，地址范围：224.0.0.1~239.255.255.254。可用D类网络有2097152个，每个网络能容纳254个主机。

• E类IP地址：保留。网络地址最高位必须为“1111”。

　　全0的IP地址指任意网络，全1的是当前子网的广播地址

三、黑客专用通道——端口

　　计算机端口可以认为是计算机与外界通信交流的出口，其中硬件领域的端口又称为接口，如USB接口、串行端口等；软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O缓冲区。

　　如果把一个IP地址比作一间房子，TCP/IP协议中的端口就是指出入这间房子的门。一个IP地址的端口可以有65536个，端口由端口号标记，端口号范围0~65535。

　端口的分类

　　端口按端口号分布划分，可分为：

1. 公认端口：端口号0~1023，这些端口的通信明确表明了某种服务的协议。例如：80端口分配给WWW服务、21端口分配给FTP服务。
2. 注册端口：端口号1024~49151，这些端口大多数没有明确地定义服务对象，应用程序可以根据自己的需要进行定义。例如：腾讯QQ用的4000端口。
3. 动态/私有端口:端口号49152~65535，木马程序常常使用，动态分配不被人们注意，容易隐藏。

　　端口按通信服务方式划分，可分为：

1. TCP协议端口（有连接）：FTP-21;telnet-23;SMTP-25(用于发送邮件);POP-110（用于接收邮件）
2. UDP协议端口（无连接）：HTTP-80;DNS-53;SNMP-161(网络管理协议)；OICQ-服务器使用8000，客户端使用4000（既接受服务，又提供服务，如聊天）

　　代理服务器常用端口：

　　HTTP 协议代理服务器常用端口号：80/8080/3128/8081/9080。

　　SOCKS 代理协议服务器常用端口号：1080。

　　FTP 协议代理服务器常用端口号：21

　　telnet 协议代理服务器常用端口号：23

　查看系统开放端口

　　使用netstat命令查看自己系统的端口状态

　　输入命令netstat -a -n

　　显示TCP和UDP连接的端口号及状态：

　　　　

　关闭不必要的端口

　　默认情况下，系统中很多没用或不安全的端口是开启的，这些端口很容易被黑客利用，为了保证系统安全，可以将这些不用的端口关闭。

　　

　 限制访问指定端口

　　通过限定访问指定端口号，同样可以达到关闭端口的目的。一下以限制访问3389端口（黑客常常利用该端口控制用户的主机）为例进行介绍。

　　打开控制面板-系统和安全-管理工具-本地安全策略：

　　

　　选择“IP安全策略，在本地计算机”，在右窗格中右键创建“IP安全策略”：

　　

　　

　　

　　

　　

　　

　　

　　

　　重启计算机生效。

　　限制访问端口的作用：

　　限制访问指定端口功能在公司管理中经常会使用到，例如领导可以限制员工不得登录聊天软件，不得登录购物网站等。用户添加某策略后，系统默认为关闭状态，而且指派策略后也要重新启动系统才会有效，否则只是添加策略而不指派启动，还是无法限制端口。

四、黑客藏匿的首选地——系统进程

　　系统进程的主要功能就是保证操作系统的正常运行，用户名为SYSEM所对应的进程便是系统进程。一下列举几种常见的系统进程及其含义。

进程	描述
smss.exe	用户调用对话管理子系统，负责用户与操作系统的对话
csrss.exe	管理Windows图形相关任务
conime.exe	该进程与输入法编辑器相关，能够确保正常调整和编辑输入法
explorer.exe	Windows资源管理器，确保在桌面上显示桌面图标和任务栏
lsass.exe	管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序
services.exe	用于启动和停止系统中的服务，终止该进程后系统也会重新启动
mnmsrvc.exe	允许有权限的用户使用NetMeeting远程访问Windows桌面
ntfrs.exe	在多个服务器之间维护文件目录内容的文件同步
system	Windows页面内存管理进程，确保系统的正常启动

　

在Windows 7 系统下，用户可以手动关闭和新建部分系统进程，如explorer.exe进程，关闭后桌面只显示桌面背景，重新创建该进程后将再次显示桌面上的文件和任务栏。

五、黑客常用DOS命令

（1）ping命令--检查网络是否畅通或者网络连接速度

ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] | [-k computer-list] [-w timeout] destination-list

-t Ping 指定的计算机直到中断。

-a 将地址解析为计算机名。

-n count 发送 count 指定的 ECHO 数据包数。默认值为 4。

-l length 发送包含由 length 指定的数据量的 ECHO 数据包。默认为 32 字节；最大值是65,527。

-f 在数据包中发送"不要分段"标志。数据包就不会被路由上的网关分段。

-i ttl 将"生存时间"字段设置为 ttl 指定的值。

-v tos 将"服务类型"字段设置为 tos 指定的值。

-r count 在"记录路由"字段中记录传出和返回数据包的路由。count 可以指定最少 1 台，最多 9 台计算机。

-s count 指定 count 指定的跃点数的时间戳。

-j computer-list 利用 computer-list 指定的计算机列表路由数据包。连续计算机可以被中间网关分隔（路由稀疏源）IP 允许的最大数量为 9。

-k computer-list 利用 computer-list 指定的计算机列表路由数据包。连续计算机不能被中间网关分隔（路由严格源）IP 允许的最大数量为 9。

-w timeout 指定超时间隔，单位为毫秒。

destination-list 指定要 ping 的远程计算机。

（2）net命令--管理网络环境、服务、用户、登录等

net localgroup 命令

net share 命令

net user 命令

net view 命令

（3）netstat命令--监控TCP/IP网络的工具，用于检验本机各端口的网络连接情况

（4）FTP命令--使用“文件传送协议”（FTP）在本地和远程主机之间传送文件，利用此命令可以执行文件下载、上传、查看文件信息等操作。

（5）telnet命令--使用Telnet协议在远程计算机之间进行通信

（6）ipconfig命令--用于显示所有当前的TCP/IP网络配置值、刷新动态主机配置协议（DHCP）和域名系统（DNS）设置

六、安装与使用虚拟机

安装虚拟机

创建虚拟机

在虚拟机中安装操作系统